북한 해커, npm 패키지를 이용한 공급망 공격 시도: 개발자 채용 미끼 주의보

최근 사이버 보안 업계에 긴장감을 불러일으키는 소식이 전해졌습니다. 북한 해커들이 오픈 소스 소프트웨어 생태계의 중요한 부분인 npm(Node Package Manager)에 악성 패키지를 유포하여 공급망 공격을 시도하고 있다는 것입니다. 특히 이번 공격은 개발자 채용을 미끼로 하는 정교한 수법을 사용하고 있어 더욱 주의가 요구됩니다.

악성 npm 패키지, 'Contagious Interview' 캠페인

보안 연구팀 Socket에 따르면, 북한 해커들은 'Contagious Interview'라는 캠페인을 통해 npm에 악성 코드를 담은 패키지를 업로드하고 있습니다. 이번에 발견된 67개의 악성 패키지는 이전 공격의 연장선상에 있으며, 공격자들은 방어망을 뚫기 위해 끊임없이 새로운 변종을 만들어내고 있습니다. 이러한 '두더지 잡기'식의 공격은 사이버 보안 전문가들에게 끊임없는 경계를 요구합니다.

가짜 채용 공고, 악성 코드 감염 경로

이번 공격의 핵심은 개발자들을 속여 악성 코드를 다운로드하고 실행하도록 유도하는 것입니다. 북한 해커들은 링크드인, 텔레그램, 디스코드 등에서 대기업 인사 담당자나 채용 담당자로 위장하여 개발자들에게 접근합니다. 인터뷰 과정은 여러 단계의 대화로 진행되며, 최종적으로 테스트 과제를 부여합니다. 이 테스트 과제 수행을 위해 지원자는 npm 패키지를 다운로드하고 실행하게 되는데, 바로 이 과정에서 악성 코드에 감염되는 것입니다. 물론, 채용 과정이 아니더라도 부주의하게 악성 패키지를 다운로드하는 경우에도 감염될 위험이 있습니다.

17,000건 이상의 다운로드, 광범위한 공격 표면

현재까지 악성 패키지는 17,000건 이상 다운로드된 것으로 추정됩니다. 이는 공격자들이 확보한 공격 표면이 매우 넓다는 것을 의미합니다. 악성 코드에 감염된 시스템은 정보 유출, 시스템 제어 등 다양한 공격에 취약해질 수 있습니다.

북한 해커, 사이버 범죄의 목적

북한 해커들은 가짜 채용, 가짜 직원 사기 등 다양한 사이버 범죄를 통해 지적 재산, 기밀 데이터, 암호화폐 등을 탈취하고 있습니다. 탈취한 암호화폐는 북한 정부의 핵무기 개발 자금으로 사용되는 것으로 알려져 있습니다. 이들은 BeaverTail, XORIndex Loader, HexEval 등 다양한 악성코드를 사용하며, 지속적으로 새로운 변종을 개발하고 있습니다.

보안 전문가의 경고

보안 연구팀은 'Contagious Interview' 캠페인의 공격자들이 악성코드 포트폴리오를 다양화하고, 새로운 npm 관리자 계정을 활용하며, HexEval Loader, BeaverTail, InvisibleFerret 등 기존 로더와 악성코드 패밀리를 재사용하고, XORIndex Loader와 같은 새로운 변종을 적극적으로 배포할 것으로 예상합니다. 따라서 개발자들은 npm 패키지 다운로드 시 출처를 꼼꼼히 확인하고, 수상한 점이 발견될 경우 즉시 신고해야 합니다.

마무리

북한 해커들의 npm 패키지를 이용한 공급망 공격은 개발자들에게 심각한 위협입니다. 의심스러운 채용 제안이나 테스트 과제는 각별히 주의해야 하며, npm 패키지 다운로드 시 보안 검사를 생활화하여 악성 코드 감염을 예방해야 합니다. 오픈 소스 생태계의 안전을 위해 우리 모두의 경각심과 적극적인 대응이 필요합니다.